Иерархия прав и обязанностей руководителей и исполнителей при построении системы информационной безопасности, их взаимодействие

Существуют различные подходы к определению терминов «право», приведем несколько.

Право – система общеобязательных, формально определенных юридических норм, выражающих конкретные интересы различных классов, соц.групп, слоев, устанавливаемых и обеспечиваемых государством, и направленных на урегулирование общественных отношений.

Право – общая мера свободы и справедливости поведения людей, выраженная в законах и других источниках, обеспечиваемая обществом и государством в форме гос.принуждения.

Признаками права являются:

1. Нормативность

2. Общеобязательность

3. Обеспеченность государством

4. Носит объективный характер

5. Формальная определенность — нормы права выражены в официальной форме

6. Неперсонифицированность и неоднократность действия норм права. Юридические нормы рассчитаны на неограниченное количество случаев применения. Не имеют конкретного адресата, обращены ко всем

7. Справедливость содержания юридических норм

8. Системность. Право — это внутренне согласованный, упорядоченный организм

9. Предоставительно-обязывающий характер. Одновременно предоставляет правомочия одному субъекту, а на другого возлагает соответствующую обязанность

Конституционная обязанность - это установленная государством в интересах всех членов общества и закрепленная в его Конституции необходимость, предписывающая каждому гражданину определенные вид и меру поведения и ответственность за ненадлежащее его исполнение.

Конституционные права, свободы и обязанности прежде всего опосредуют отношения и связи между государством и его гражданами. Возлагая на граждан основные обязанности, государство сохраняет за собой возможность в лице соответствующих органов устанавливать содержание и объем этих обязанностей путем издания конкретизирующих актов, определять условия их исполнения, принимать меры воздействия к тем, кто злостно уклоняется от их несения. Предоставляя гражданам права и свободы и возлагая на них обязанности, государство берет на себя бремя гарантировать эти права и сохраняет за собой возможность в пределах правопорядка прибегнуть к широкому диапазону мер от убеждения до принуждения - с тем, чтобы установленные обязанности были исполнены.

Существует ряд признаков конституционных прав, свобод и обязанностей.

1. Основными права, свободы и обязанности граждан являются в первую очередь потому, что они опосредуют наиболее существенные коренные отношения между государством и его гражданами в связи с их местом в важнейших областях жизни и деятельности.

2. Конституционные права, свободы и обязанности являются юридической базой для всех прав, свобод и обязанностей человека и гражданина, записанных в текущем законодательстве, ибо они содержат исходные, принципиальные положения в той или иной сфере регулирования общественных отношений.

3. Конституционные права, и права, установленные нормами каждой отдельной отрасли права, носят самостоятельный характер.

4. Записанные в Конституции права, свободы и обязанности для своего претворения в жизнь нуждаются в конкретизации и развитии посредством текущего законодательства.

5. Конституционные права, свободы и обязанности обладают наивысшей юридической силой.

6. Лицам не могут быть предоставлены такие права или возложены на них такие обязанности, которые противоречат или несовместимы с конституционными.

 

Что касается системы ИБ, то в её жизненном цикле можно выделить следующие этапы:

1. Инициация и разработка системы.

2. Приобретение оборудования и средств защиты.

3. Установка настройка и тестирование средств защиты.

4. Эксплуатация.

5. Выведение из эксплуатации.

На этапе инициации и разработки субъектам правовых отношений выступают заказчик и проектировщик. После проведения аудита инф. системы проектировщик предоставляет его результаты и рекомендации по построению системы ИБ заказчику, который в свою очередь формирует требования к будущей системе безопасности. На основании полученных материалов проектировщик предлагает варианты реализации системы безопасности, окончательный вариант утверждает заказчик. На данном этапе правоотношения регулируются на договорной основе. Субъекты не подчиняются друг другу.

На этапе приобретения средств защиты субъектам правовых отношений выступают заказчик и поставщик. Правоотношения регулируются на договорной основе (поставщик обязан поставить оборудование требуемого качества в определенные сроки, заказчик должен в свою очередь оплатить поставку вовремя) оба субъекта в праве требовать выполнения условий договора в полном объеме.

На этапе установки настройки и тестирования средств защиты субъектам правовых отношений выступают заказчик в лице администрации и подрядчик. Правоотношения регулируются на договорной основе. В обязанности подрядчика входит своевременное качественное выполнение установки/монтажных работ, настройки и тестирования средств защиты. По завершению работ оформляется акт приемки, удостоверяющий качественное выполнение работ, и производится ввод в эксплуатацию системы или ее компонентов.

На этапе эксплуатации системы безопасности субъектам правовых отношений выступают исполнители (ответственные лица за компоненты системы безопасности, допущенные к обработке информации сотрудники, а так же сторонние специалисты привлекаемые для обслуживания системы при необходимости), а так же администрация организации в лице руководителя и зама по безопасности (руководителя службы безопасности). На данном этапе жизненного цикла системы ярко выражена подчиненность исполнителей руководству. Исполнители обязаны выполнять организационно-правовые и организационно-технические требования установленные руководством организации. Руководство имеет право вносить изменения в работу системы безопасности.

На этапе вывода из эксплуатации элементов системы информационной безопасности правоотношения могут строиться как на основе договора со сторонней организацией, так и на основе подчиненности исполнителей руководству в соответствии с иерархией управления (входит в обязанности ответственных сотрудников).

Этапы ЖЦ повторяются при нововведениях, реорганизации системы (т.е. в процессе построения системы ИБ). Аудит системы безопасности может происходить на любом этапе в зависимости от текущих задач.

Взаимодействие руководителей и исполнителей подчинено единой цели: повышение уровня защищенности информационных ресурсов, принадлежащих руководству.

Определяющая роль в процессе создания системы ИБ принадлежит владельцу информационных ресурсов (заказчику). Участие руководства в процессе создания и эксплуатации системы ИБ - непременное условие. От его лица происходит постановка задач для исполнителей, кроме того, только он обладает административными и материальными ресурсами.

 

74. Аудит системы информационной безопасности на объекте как основание для подготовки организационных и правовых мероприятий. Его критерии, формы и методы.

Под аудитом безопасности понимается системный процесс получения и оценки объективных данных о текущем состоянии обеспечения безопасности на объектах информатизации, действиях и событиях, происходящих в информационной системе, определяющих уровень их соответствия определенному критерию.

Прежде чем решить, как и от кого защищать информацию, необходимо уяснить реальное положение в области обеспечения безопасности информации на предприятии и оценить степень защищенности информационных активов. Для этого проводится комплексное обследование защищенности ИС (или аудит безопасности), основанные на выявленных угрозах безопасности информации и имеющихся методах их парирования, результаты которого позволяют:

· оценить необходимость и достаточность принятых мер обеспечения безопасности информации;

· сформировать политику безопасности;

· правильно выбрать степень защищенности информационной системы;

· выработать требования к средствам и методам защиты;

· добиться максимальной отдачи от инвестиций в создание и обслуживание системы обеспечения информационной безопасности (СОБИ).

Цель проведения аудита безопасности - получение объективных данных о текущем состоянии обеспечения безопасности информации на объектах ИС, позволяющих провести минимизацию вероятности причинения ущерба собственнику информационных активов в результате нарушения конфиденциальности, целостности или доступности информации, подлежащей защите, за счет получения несанкционированного доступа к ней, а также выработка комплекса мер, направленных на повышение степени защищенности информации ограниченного доступа. Методологическое обследование процессов, методов и средств обеспечения безопасности информации при выполнении ИС своего главного предназначения – информационное обеспечение бизнеса. Результатом аудита м.б. рекомендации по изменению инфраструктуры сети, когда по экономическим соображениям нецелесообразно или невозможно достичь требуемого уровня защищенности информации при существующей инфраструктуре ИС.

Комплексный подход к аудиту:

· проверка достаточности правовых, экономических и организационных мер защиты (физической защиты, работы персонала, регламентация его действий);

· проверка достаточности принятых программно-аппаратных и технических мер защиты (соответствие установленным требованиям применяемых в ИС программно-аппаратных средств защиты).

Критерии аудита - политика, методы, процедуры или требования, по которым аудитор проверяет собранные данные об объекте аудита. Критерии аудита регламентируют работу средств, позволяющих установить ответственность пользователей за события в системе. Критерии:

1. Регистрация и учет событий в системе позволяют выявить потенциально опасные действия пользователей. Требования ранжируются в зависимости от степени их Легализации, сложности процесса анализа событий и возможности выявлять потенциальные угрозы безопасности.

2. Идентификация и аутентификация позволяют ТСВ (Ядро безопасности {Trusted Computing Base. TCB). Совокупность аппаратных, программных и специальных компонент системы. реализующих функции защиты и обеспечения безопасности) проверить подлинность пользователей, пытающихся получить доступ к системе и ее ресурсам. Ранжирование требований выполняется в зависимости от функциональности возможности механизмов идентификации и аутентификации.

3. Прямое взаимодействие с ТСВ обеспечивает возможность непосредственного конфиденциального взаимодействия между пользователем и ТСВ. Требования ранжируются в зависимости от гибкости механизмов, обеспечивающих прямое взаимодействие с ТСВ, инициированное пользователем взаимодействие с ТСВ.

Как правило аудит предполагает наличие уже работающей системы безопасности, которую требуется проверить и улучшить (изменить) в соответствии с текущими нуждами организации. Результат аудита — адаптация, приближение обследуемой системы к требуемому уровня обеспечения безопасности.

Формы аудита в области безопасности

Отличия по цели, а методика их проведения абсолютно идентична.

1. первоначальное обследование (первичный аудит)

2. предпроектное обследование (технический аудит)

3. аттестация объекта

4. сюрвей

5. контрольное обследование

1. Заказчик принимает решение о защите своей инф. Заказчику необходимо получить ответ на вопросы – что у него есть реально, на сколько это соответствует определенным требованиям и критериям и после этого получить общее видение проблемы и направление ее решения. Результатом этого аудита может стать концепция информационной безопасности предприятия, политика безопасности. Как только проведено первичное обследование, собраны некоторые данные, получена общая картина состояния, выработана некоторая система взглядов, о том, что делать дальше, наступает технический аудит.

2. При проведении технического аудита берется имеющаяся или проектируемая информационная система и сравнивается с моделью угроз данного объекта, и определяется, какие требования должны быть заложены. Результатом технического аудита является набор требований к системе информационной безопасности. Т.е. если говорить о программно-аппаратных средствах защиты, то это может быть профиль защиты или техническое задание. Также определяются комплекс организационных мероприятий, уровень защиты, и т.д.

3. После того как систему безопасности информации построили, заказчик может убедиться, а действительно ли исполнитель сделал систему, удовлетворяющую требованиям. Проводят аттестацию объекта. Результатом аттестации является строго определенный документ – аттестат соответствия. Это государственный документ, подтверждающий соответствию государственным требованиям, т.е. ГОСТу, руководящим документам и т.д.

4. Если собственник информации осознал ценность своей информации, а после первичного обследования пришел к выводу, что в результате потери информации он может понести значительные финансовые потери, он может задуматься над возможностью компенсации ущерба. И одним из вариантов является страхование информационных рисков. И в таком случае проводится следующая форма аудита безопасности - сюрвей. Это специфическая форма, но все-таки форма аудита (или обследования). Сюрвей проводится с целью предстрахового обследования. И особенностью сюрвея является то, что результаты обследования передаются третей стороне – страховой компании, для определения размера страхового взноса. Результатом является сюрвей-рипорт (экспертное заключение).

5. Контрольное обследование – проводится в основном в двух критических случаях. это если произошло событие, приведшее к потере (утрате, искажению и т.д.) информации, и в данном случае необходимо выяснить причины происшедшего. И второй случай - это плановое контрольное обследование с целью проверки соблюдения правил безопасности информации.

Этапы аудита

Методы аудита

На разных этапах обследования используются различные методы: технические, аналитические, экспертные, расчетные. При этом, результаты, полученные одними методами, могут дублироваться (дополняться) результатами, полученными другими методами. Совокупность всех применяемых методов позволяет дать объективную оценку состояния обеспечения безопасности информации на обследуемом объекте. Основными группами методов при обследовании являются:

Экспертно-аналитические методы предусматривают проверку соответствия обследуемого объекта установленным требованиям по безопасности информации на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер защиты информации, а также соответствия реальных условий эксплуатации оборудования предъявляемым требованиям по размещению, монтажу и эксплуатации технических и программных средств.

Экспертно-инструментальные методы предполагают проведение проверки функций или комплекса функций защиты информации с помощью специального инструментария (тестирующих средств) и средств мониторинга, а также путем пробного запуска средств защиты информации и наблюдения реакции за их выполнением. В процессе испытаний технических и программных средств используются тестирующие средства, принятые в установленном порядке.

Моделирование действий злоумышленника («дружественный взлом» системы защиты информации) применяются после анализа результатов, полученных в ходе использования первых двух групп методов, - они необходимы как для контроля данных результатов, а также для подтверждения реальных возможностей потенциальных злоумышленников (как внутренних, легально допущенных к работе с тем или иным уровнем привилегий в ИС, так и внешних – в случае подключения ИС к глобальным информационным сетям). Кроме того, подобные методы могут использоваться для получения дополнительной исходной информации об объекте, которую не удалось получить другими методами. Применение методов моделирования действий злоумышленника ограниченно. При использовании данных методов необходимо учитывать, что при осуществлении тестовой атаки, используемое в ИС оборудование может быть выведено из строя, информационные ресурсы утрачены или искажены. Применение методов моделирования действий злоумышленника осуществляется только с согласия заказчика и под его контролем.